Hotmail ayudó al ladrón de información de Twitter en su ataque

TechCrunch, la web que la pasada semana informó de la brecha de datos en Twitter y que ha publicado este fin de semana algunos de los documentos robados, sentencia que “Hacker Croll”, como se hace llamar el autor del ciberdelito, aprovechó las débiles políticas de claves de acceso, una función para reactivar cuentas en Hotmail e información personal en la Web para robar cientos de documentos de Twitter. La famosa web convenció al hacker para que divulgara los detalles de su ataque y de cómo comprometió las cuentas de correo electrónico de Evan Williams, CEO de Twitter, y de Biz Stone, uno de los cofundadores.

En primer lugar, el hacker se hizo con la cuenta personal de Gmail de un empleado de Twitter reconfigurando la clave de la cuenta. Para hacerlo, tenía que responder a una o más preguntas personales para autenticar el usuario. Según TechCrunch, el pirata había investigado previamente a éste y otros empleados de Twitter buscando en Internet las posibles respuestas.

Los expertos en seguridad dicen que este mismo proceso había sido utilizado por un estudiante de Tennessee para introducirse en el email de Yahoo de la gobernadora de Alaska, Sarah Palin, el pasado año. “Todo esto tiene que ver con la debilidad de las contraseñas, fácilmente adivinables, además del hecho de que la gente publica online información que sólo compartirían con sus amigos más cercanos”, explica Sam Masiello, vicepresidente de seguridad de la información de MX Logic. “No es difícil descifrar una password con los datos que se pueden encontrar en las redes sociales”.

En ese punto, y aunque Hacker Croll tenía dominio sobre la cuenta personal de Gmail del empleado de Twitter, no podía ocultar sus pistas, pues el usuario rápidamente se daría cuenta de que algo fallaba la próxima vez que intentara acceder a ella y le rechazaran. “Al tratar de recuperar la clave, Gmail informa de que se enviará un correo electrónico a una cuenta secundaria”, describe Nik Cubrilovic, de TechCrunch. “Gmail ofrece entonces una pista de a qué cuenta se enviará si el usuario pide un recordatorio de su contraseña. En este caso, el indicador del email secundario era ******@h******.com."

Hacker Croll dedujo entonces que la cuenta estaba en Hotmail y trató de hacerse con la clave. El correo de Hotmail estaba en desuso desde hacía tiempo; sin embargo, una función de Microsoft diseñada para reciclar cuentas inactivas le permitió volver a registrarse. De vuelta a Gmail, hizo una vez más el proceso para recuperar la password, especificando una nueva clave que se envió a la cuenta de Hotmail, ya controlada por el pirata.

De esta manera, Hacker Croll dominaba la cuenta de Gmail del administrativo de Twitter, aunque lo hacía con su contraseña y no con la conocida por el usuario legítimo. A partir de ese punto, explica Cubrilovic, Hacker Croll navegó por la cuenta de Gmail del trabajador de Twitter y encontró varios mensajes de confirmación de passwords de otros websites y servicios, y reconfiguró la cuenta utilizando la clave original, que aparecía en varios de esos mensajes. Con la contraseña original en sus manos, el ciberdelincuente ya podía monitorizar el correo, leer los mensajes y descargar los archivos sin que nadie lo supiera.

Política de contraseñas

“Hacker Croll utilizó la misma palabra clave para entrar en el email de Twitter del empleado en Google Apps, accediendo a toda una mina de oro de información sensible de la compañía acumulada en correos electrónicos, y particularmente, en sus adjuntos”, detalla Cubrilovic. Entre toda esa pila se encontraban los nombres de usuario y claves de otros empleados de Twitter, como el CEO y el cofundador de la red de microblogging, con las que pudo introducirse en sus cuentas corporativas.

Según Cubrilovic, la costumbre de poner una única contraseña para todos los sites es algo bastante común en Twitter. “Casi todos o todos los empleados de Twitter utilizaban la misma password para su email de Google Apps y para su cuenta personal de Gmail”.

Además, el sitio de información tecnológica ha desvelado también que la clave para acceder a los servidores era precisamente “password”. Ante el incidente, la sugerencia es crear palabras clave más seguras que combinen caracteres especiales y alfanuméricos y utilizar diferentes contraseñas para cada servicio.

Twitter ha amenazado con emprender acciones legales contra estos sites, incluyendo TechCrunch por haber publicado parte de los documentos robados, si bien los expertos dudan de que lleguen a buen puerto.